Entenda o que é Audit trail de IA, quais evidências o EU AI Act exige para sistemas de alto risco e como o PL 2.338 sinaliza o futuro da governança de IA no Brasil
A inteligência artificial está deixando de ser uma inovação e agora passa a ser uma questão de governança dentro das empresas. A discussão sobre redução de custos e produtividade dá espaço para o desenvolvimento, testes, evolução dos modelos e, principalmente, a supervisão de todo o processo.
Se um regulador, cliente ou auditor pedisse o histórico de um sistema de IA usado pela sua empresa, seria possível fazer essa demonstração sem recorrer a planilhas, emails e dashboards dispersos? Essa é a pergunta que diferencia uma empresa que apenas utiliza IA de uma organização preparada para governá-la. O movimento regulatório é claro e já está em vigor, criando requisitos e evidências que demonstrem o controle no uso da ferramenta.
Na União Europeia, o EU AI Act The Act Texts | EU Artificial Intelligence Act transforma documentação, rastreabilidade e registros em componentes centrais da governança, especialmente os sistemas classificados como de alto risco.
Entre os principais blocos de evidência previstos pelo regulamento estão:
– Sistema de gestão de riscos
– Governança e qualidade dos dados
– Documentação técnica
– Registro automático de eventos
– Informações e instruções para quem opera o sistema
– Supervisão humana
– Evidências de desempenho, robustez e cibersegurança
No Brasil, a PL 2338/2023 PL 2338/2023 – Senado Federal aponta para uma direção semelhante ao propor uma abordagem regulatória baseada em riscos, direitos, governança e avaliação de impacto.
Apesar de ainda não ser uma lei, o texto aprovado pelo Senado em dezembro de 2024 seguiu para análise da Câmara dos Deputados. Portanto, seus dispositivos devem ser tratados como uma referência legislativa em construção.
Entre os mecanismos relevantes discutidos no marco brasileiro estão obrigações de governança proporcionais ao risco, documentação, transparência, supervisão e avaliação de impacto algorítmico para situações determinadas pela futura estrutura regulatória.
Para as organizações, o ideal é não esperar a regulamentação final para começar a organizar evidências. Uma trilha de auditoria retroativa raramente possui a mesma qualidade de uma governança construída desde o início.
A comparação entre os dois marcos regulatórios evidencia que, embora em estágios diferentes de maturidade, ambos caminham para exigir mecanismos semelhantes de governança.
Comparação entre a EU AI Act x PL2338

Independentemente das diferenças entre os marcos regulatórios, ambos apontam para uma mesma necessidade prática: produzir evidências confiáveis da governança da IA.
Afinal, o que sua empresa deveria conseguir mostrar?
Independentemente da jurisdição e respeitando as obrigações específicas aplicáveis a cada sistema, uma organização madura deveria ser capaz de reunir um dossiê de evidências de IA com:
– Inventário de sistemas de IA: todos os sistemas em uso com dono responsável identificado.
– Classificação de risco por sistema: em linguagem compatível com EU AI Act e PL2338 (excessivo, alto, moderado, mínimo).
– Documentação técnica pré-operação: descrição, propósito, dados de treinamento e limites conhecidos antes do sistema entrar em uso.
– Log automático de decisões: registro gerado pelo sistema para toda decisão de alto risco, especificando quem, o quê, quando, qual versão de modelo e qual resultado.
– Política de retenção: prazo definido dos registros (mínimo de 6 meses para operação no escopo do EU AI Act, até 10 anos para documentação técnica de fornecedor).
– Avaliação de impacto para sistemas de alto risco: técnica, científica e jurídica revisitada periodicamente.
– Procedimento de supervisão humana: registro de quem pode intervir, revisar ou reverter uma decisão automatizada e comprovar que isso ocorre quando necessário.
– Fluxo de resposta: processo definido para responder dentro do prazo regulatório e em linguagem acessível.
FAQ — Audit trail, EU AI Act e PL 2.338/2023
O que é Audit trail de IA?
É uma trilha cronológica e verificável de registros e evidências que permite reconstruir aspectos relevantes do ciclo de vida, das alterações, da operação e das ações de um sistema de inteligência artificial.
Audit trail e log são a mesma coisa?
Não. Os logs registram eventos específicos do sistema. Já o audit trail reúne esses registros com outras evidências que permitem reconstruir o histórico completo da operação e da governança da IA.
O EU AI Act exige logs de sistemas de IA?
Para sistemas classificados de alto risco, o artigo 12 do EU AI Act estabelece requisitos de capacidade técnica para registro automático de eventos durante a operação, de modo compatível com a finalidade do sistema e a necessidade de rastreabilidade.
Toda IA precisa da mesma documentação no EU AI Act?
Não. As obrigações dependem da classificação do sistema e do papel desempenhado pela organização. Sistemas de alto risco estão sujeitos a requisitos mais extensos, incluindo gestão de riscos, documentação técnica antes da entrada em operação (Art.11), registros automáticos de eventos (Art.12), supervisão humana, robustez e cibersegurança.
Até quando as empresas têm para se adequar ao EU AI Act?
As obrigações para sistemas de alto risco do Anexo III entram em vigor no dia 2 de agosto de 2026. Existe uma proposta de adiamento em discussão, mas essa alteração ainda não foi aprovada.
O PL 2.3338/2023 já está em vigor no Brasil?
Não. O projeto foi aprovado pelo Senado em dezembro de 2024 e encaminhado à Câmara dos Deputados, onde segue em tramitação. Seu conteúdo pode sofrer alterações antes de eventual aprovação definitiva e sanção.
O PL 2338 prevê avaliação de impacto algorítmico?
Sim, para sistemas de alto risco, conduzida por profissional ou equipe com conhecimento técnico, científico e jurídico, incluindo monitoramento contínuo depois da entrada em operação do sistema.
O que uma empresa deve registrar sobre os seus sistemas de IA?
A empresa deve manter evidências sobre inventários de sistemas, versões, responsáveis, riscos, alterações, ações executadas, supervisão humana e controles.
Qual é a multa por falta de documentação de IA?
Até €15 milhões ou 3% do faturamento global anual no EU AI Act; até R$ 50 milhões por infração no texto do PL 2338 aprovado no Senado, com valor dobrado em reincidência.
Esperar que a regulamentação entre em vigor para começar a organizar evidências pode significar mais trabalho, mais custos e mais riscos. Estruturar uma trilha de auditoria desde o início permite acompanhar o ciclo de vida dos sistemas de IA com mais controle, facilita a comprovação das decisões tomadas e prepara a empresa para um cenário em que transparência e governança tendem a se tornar cada vez mais importantes.